Story Transcript
1/15
Procedimiento Nº PS/00245/2015
RESOLUCIÓN: R/02570/2015 En el procedimiento sancionador PS/00245/2015, instruido por la Agencia Española de Protección de Datos a la entidad SEGURIDAD EN LA GESTION S.L., vista la denuncia presentada por D. A.A.A., y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 30 de mayo de 2014 tuvo entrada en esta Agencia Española de Protección de Datos una denuncia presentada por D. A.A.A. (en adelante el denunciante) en la que vino a manifestar que se había producido la inclusión de sus datos de carácter personal en ficheros de solvencia patrimonial y crédito, concretamente ASNEF-EMPRESAS, sin requerimiento previo de pago por parte de SEGURIDAD EN LA GESTION S.L. (en lo sucesivo entidad denunciada o SEGESTIÓN). Para acreditar estos hechos, aportaba copia de una carta del propio fichero ASNEF-EMPRESAS, de titularidad de EQUIFAX IBÉRICA, S.L., de fecha 21 de mayo de 2014, en el que se le informaba que sus datos personales habían sido dados de alta en el fichero de morosidad de ASNEF-EMPRESAS por parte de SEGURIDAD EN LA GESTION S.L. con fecha de alta el 20 de mayo de 2014 como consecuencia de una deuda por importe de 213,60 € por un tipo de producto de factura. SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por los Servicios de Inspección de Datos de esta Agencia se solicitó información a las entidades más abajo detalladas. De esta manera, en el informe de actuaciones de investigación E/03803/2014 se detalla lo siguiente: . TERCERO: En fecha 11 de mayo de 2015 el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a SEGURIDAD EN LA GESTION S.L. por la posible infracción del artículo 4.3 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), en relación con el artículo 29.4 de esa misma norma y en relación también con los artículos 38 y 39 del Reglamento de Desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre (en adelante RLOPD); tipificada como grave en el artículo 44.3.c) de la citada Ley Orgánica, este último de acuerdo con la redacción dada por la Ley 2/2011, de 4 de marzo, de Economía Sostenible. CUARTO: En fecha 18 de junio de 2015 tuvo entrada en esta Agencia un escrito de alegaciones por parte de la representación de SEGURIDAD EN LA GESTION S.L., previa ampliación de plazos concedida en fecha 2 de junio de 2015 y previo envío de copia del expediente en fecha 28 de mayo de 2015 (en concreto, actuaciones previas de investigación E/03803/2014. En dichas alegaciones al Acuerdo de inicio más arriba citado se afirmó haber realizado una actuación conforme a derecho (pues había requerido de pago al denunciante con carácter previo a la inclusión como moroso, que quedaría acreditado con la documentación aportada; solicitando por tanto el archivo de las actuaciones y, como cuestión previa, la no aplicabilidad de la LOPD, al tratarse dicho denunciante de un empresario individual y que la inclusión se llevó cabo por una deuda generada por esa condición, siendo el fichero común ASNEF-EMPRESAS. QUINTO: En fecha 24 de junio de 2015 se inició un período de práctica de pruebas por un plazo de treinta días, según lo dispuesto en el artículo 17.1 del Real Decreto 1398/1993 de 4 de agosto, notificándose a las partes interesadas, practicándose las siguientes: Incorporar al expediente del presente procedimiento sancionador, y por tanto dar por reproducida a efectos probatorios, la documentación recabada en las actuaciones previas de inspección (E/03803/2014), consistente en el escrito de denuncia e informes de SEGURIDAD EN LA GESTIÓN, S.A. y de la Inspección de Datos de esta Agencia de 4 de marzo de 2015; así como las alegaciones de fecha 11 de junio de 2015 al Acuerdo de inicio citado más arriba realizadas por parte de SEGURIDAD EN LA GESTIÓN, S.A. Todo ello con su correspondiente documentación adjunta. SEXTO: Con fecha 28 de agosto de 2015 se formuló propuesta de resolución en el sentido de que por el Director de la Agencia Española de Protección de Datos se sancionase a SEGURIDAD EN LA GESTION S.L. con multa de 50.000 € (cincuenta mil euros) por la infracción del artículo 4.3 de la LOPD, en relación con el artículo 29.4 de la C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
3/15
misma norma y en relación también con los artículos 38 y 39 del RLOPD; tipificada como grave en el artículo 44.3.c) de dicha norma y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica, estos últimos de acuerdo con la redacción dada por la Ley 2/2011. En su virtud se le notificó cuanto antecede a fin de que en el plazo de quince días hábiles pudiera alegar cuanto considerase en su defensa y presentase los documentos e informaciones que estimase pertinentes ante el Instructor del procedimiento, de acuerdo con el artículo 19.1 del Reglamento del procedimiento para el ejercicio de la potestad sancionadora, aprobado por Real Decreto 1398/1993, de 4 de agosto. En cumplimiento de lo dispuesto en el mencionado precepto, se acompañó una relación de los documentos obrantes en el procedimiento. SÉPTIMO: Dicha propuesta de resolución fue notificada en efecto a SEGURIDAD EN LA GESTION S.L. en fecha 3 de septiembre de 2015, concediéndose el citado plazo para formular alegaciones, las cuales fueron presentadas en fecha 24 de septiembre de 2015. Se reiteraban los argumentos ya expuestos en anteriores alegaciones.
HECHOS PROBADOS PRIMERO: Que con fecha 30 de mayo de 2014 D. A.A.A. manifestó a esta Agencia Española de Protección de Datos que se había producido la inclusión de sus datos de carácter personal en ficheros de solvencia patrimonial y crédito, concretamente ASNEFEMPRESAS, sin requerimiento previo de pago por parte de SEGURIDAD EN LA GESTION S.L. (folio 1). SEGUNDO: Que en el fichero de solvencia patrimonial y crédito ASNEF, en concreto ASNEF-EMPRESAS, se registraron los datos de carácter personal de D. A.A.A. a instancias de SEGURIDAD EN LA GESTION S.L. con fecha de alta el 20 de mayo de 2014 como consecuencia de una deuda por importe de 213,60 € por un tipo de producto de factura (folio 11). TERCERO: Que SEGURIDAD EN LA GESTION S.L. no ha aportado a esta Agencia Española de Protección de Datos documentación que acredite que llevara a cabo requerimiento de pago a D. A.A.A. por la deuda de importe ya detallado con carácter previo a la inclusión de sus datos de carácter personal en el fichero de solvencia patrimonial y crédito ASNEF-EMPRESAS, según se detalla en el punto 2ºanterior. FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento la Directora de la Agencia
C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
4/15
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g) en relación con el artículo 36 de la LOPD. II Antes de analizar las cuestiones de fondo, se hace preciso responder a la alegación realizada por alega la representación de SEGURIDAD EN LA GESTION S.L., en el sentido de que los datos facilitados por el denunciante con ocasión de la contratación y, por ello, los propios de la deuda originada por el impago de tales servicios, lo fueron en su condición de empresario o profesional, por lo que el tratamiento queda fuera del ámbito de aplicación de la LOPD. En relación a si el tratamiento de datos realizado se enmarca o no en el ámbito de aplicación de la LOPD, su artículo 1 señala que: “La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas,….”. La sentencia del Tribunal Supremo (Sala Tercera) de fecha 20 de febrero de 2007 (Rec. 732/2003) que, aunque referida a la LORTAD, sienta una doctrina plenamente aplicable bajo la vigencia de la LOPD; en ella se expone que: “Subjetivamente el ámbito de la LORTAD, como señala la sentencia recurrida, se concreta a los datos de las personas físicas, así resulta de los arts. 2.1 y 3 de la misma, señalando este último que se entenderá por datos de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables”; en el mismo sentido se expresa la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos...”. “Es claro que los Arquitectos y Promotores a los que se refiere el litigio participan de la naturaleza de personas físicas y que no dejan de serlo por su condición de profesionales o agentes que intervienen en el mercado de la construcción , por lo que los datos personales relativos a los mismos, quedan amparados y sujetos en cuanto a su tratamiento informatizado a las previsiones de la LORTAD; y es que desde este punto de vista subjetivo la exclusión del ámbito de aplicación de la LORTAD no viene determinada por el carácter profesional o no del afectado o titular de los datos objeto de tratamiento, sino por la naturaleza de la persona física o jurídica titular de los datos, en cuanto sólo las personas físicas se consideran titulares de los derechos a que se refiere el art. 18.4 de la Constitución”. “Por ello, la argumentación que la parte recurrente efectúa en relación con el carácter empresarial de la actividad desarrollada por los profesionales... (…) no priva ni altera la naturaleza de tales datos en cuanto conciernen a dichas personas físicas”. Para concluir, la sentencia de la Audiencia Nacional de 10 de septiembre de 2009 señala que es preciso diferenciar cuándo un dato del empresario o profesional se refiere a la vida privada de la persona y cuándo a la empresa o profesión; dado que sólo en el primer caso cabe aplicar la protección de la LOPD. Esta labor de diferenciación puede basarse en dos criterios distintos y complementarios: la clase y naturaleza de los datos tratados, (atendiendo a que estén en conexión o se refieran a una esfera íntima y personal o a otra profesional) y la finalidad del tratamiento y las circunstancias en que éste se desarrolla. La sentencia citada manifiesta que en el supuesto que se enjuicia (en el que se C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
5/15
incluyeron los datos del denunciante en un fichero de solvencia patrimonial), “se han tratado datos en el ámbito profesional del afectado, pero que también afectan a la esfera personal del mismo en cuanto identifican y permiten la identificación de su persona y cuyo conocimiento o empleo por terceros puede afectar a uno de los derechos inherentes a su persona, cual es la elección de un representante de sus intereses profesionales”. O en palabras de la sentencia de fecha 1 de octubre de 2009, que incide en este punto: “En el presente caso, se ha incorporado al Asnef datos personales del denunciante, pues tal carácter tienen los relativos a su nombre y apellidos y el número de documento nacional de identidad, datos que permite su completa identificación y, por tanto, son objeto de protección a través de la regulación establecida en la LOPD” (R. núm. 423/2009). Y en relación con esta última sentencia, hay que reseñar que el Reglamento de del Fichero ASNEF-EMPRESAS dice en su apartado “Entidades Adheridas al Fichero” establece que “las entidades que participan en el fichero ASNEF podrán consultar la información incluida en el fichero ASNEF-EMPRESAS” (folio 74). En consecuencia, la precedente alegación debe ser desestimada. III Se imputa a SEGURIDAD EN LA GESTION S.L. en el presente procedimiento sancionador la comisión de una infracción del artículo 4.3 de la LOPD, que dispone que: “Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado”. La Directiva 95/46 CE del Parlamento Europeo y del Consejo, que traspone la LOPD, por su parte, establece en su artículo 6. I. d) que “Los Estados miembros dispondrán que los datos personales sean….d) exactos, y cuando sea necesario, actualizados. Deberán tomarse todas las medidas razonables para que los datos inexactos o incompatibles, con respeto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados”, indicando el apartado 6.2 que: “Corresponderá a los responsables del tratamiento garantizar el cumplimiento de los dispuesto en el apartado I”. La obligación establecida en el artículo 4 transcrito impone la necesidad de que los datos personales que se recojan en cualquier fichero sean exactos y respondan, en todo momento, a la situación actual de los afectados, siendo los responsables de los ficheros quienes responden del cumplimiento de esta obligación. El artículo 29 de la LOPD regula de forma específica los ficheros establecidos para prestar servicios de información sobre solvencia patrimonial y crédito, y distingue dentro de ellos dos supuestos. En los ficheros en los que se tratan datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias los datos son facilitados por el acreedor o por quien actúe por su cuenta o interés. Así, dispone en este sentido, en su apartado 2 el citado artículo: “Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
6/15
de la totalidad de ellos, en los términos establecidos por la presente Ley”. Y el punto 4 de este mismo artículo 29 de la LOPD dispone también que: ”Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos”. Por su parte, el artículo 37.1 y 3 del RLOPD establece que: “1. El tratamiento de datos de carácter personal sobre solvencia patrimonial y crédito, previsto en el apartado 1 del artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, se someterá a lo establecido, con carácter general, en dicha ley orgánica y en el presente reglamento. (…) 3. De conformidad con el apartado 2 del artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, también podrán tratarse los datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. Estos datos deberán conservarse en ficheros creados con la exclusiva finalidad de facilitar información crediticia del afectado y su tratamiento se regirá por lo dispuesto en el presente reglamento y, en particular, por las previsiones contenidas en la sección segunda de este capítulo”. De este modo, el artículo 38 del mismo Reglamento de Desarrollo de la LOPD determina que: “1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos: a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada (…). b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico. c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación. 2. (…). 3. El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo al que se refiere el artículo siguiente”. Y el artículo 39 del RLOPD, sobre “Información previa a la inclusión”: “El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias”. C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
7/15
En este caso, SEGURIDAD EN LA GESTION S.L. incorporó a su sistema de información de clientes los datos del denunciante por un servicio de reclamación de deuda. Posteriormente, informó de una deuda imputada en relación esos servicios de recobro al fichero de morosidad ASNEF, en concreto ASNEF-EMPRESAS, sin requerimiento previo de pago. En este sentido, con fecha 30 de mayo de 2014 D. A.A.A. manifestó a esta Agencia Española de Protección de Datos que se había producido la inclusión de sus datos de carácter personal en ficheros de solvencia patrimonial y crédito, concretamente ASNEF-EMPRESAS, sin requerimiento previo de pago por parte de SEGURIDAD EN LA GESTION S.L. (folio 1). Recordemos que, como se acredita en el expediente, en el fichero de solvencia patrimonial y crédito ASNEF, en concreto ASNEF-EMPRESAS, se registraron los datos de carácter personal de D. A.A.A. a instancias de SEGURIDAD EN LA GESTION S.L. con fecha de alta el 20 de mayo de 2014 como consecuencia de una deuda por importe de 213,60 € por un tipo de producto de factura (folio 11). Por su parte, SEGURIDAD EN LA GESTION S.L. no ha aportado a esta Agencia documentación suficiente que acredite que llevara a cabo requerimiento de pago a D. A.A.A. por la deuda de importe ya detallado con carácter previo a la inclusión de sus datos de carácter personal en el fichero de solvencia patrimonial y crédito ASNEFEMPRESAS, según se ha detallado anteriormente. Los hechos anteriormente relatados son contrarios al principio de calidad del dato consagrado en el artículo 4.3 en relación con el 29.4 de la LOPD y en relación también con los artículos 38 y 39 del RLOPD, toda vez que SEGURIDAD EN LA GESTION S.L. mantuvo indebidamente los datos del denunciante en sus propios ficheros en el sentido descrito, con la comunicación al fichero de solvencia ASNEF, en concreto ASNER-EMPRESAS, sin que dicha inscripción hubiese respondido a su situación de entonces (“actual”) al no cumplir con los requisitos establecidos en la normativa precitada sobre protección de datos de carácter personal. IV Consta acreditado en esta Agencia que las entidades asociadas a ficheros de morosidad suministran periódicamente las relaciones de las altas, bajas y modificaciones de los datos de sus clientes para que tales actualizaciones queden registradas en el citado fichero, siendo las entidades informantes las que deciden sobre el alta o la cancelación de los datos de sus clientes del fichero de morosidad. Los datos personales de la persona denunciante son datos que figuran en sus propios ficheros automatizados. Adicionalmente son comunicados al responsable del fichero de solvencia a través de procedimientos que implican un tratamiento automatizado de los datos tratados, cedidos, e incorporados al fichero común de información sobre solvencia patrimonial. La vigente LOPD atribuye la condición de responsables de las infracciones a los responsables de los ficheros (art. 43), concepto que debe integrarse con la definición que de los mismos recoge el artículo 3.d). Este precepto, innovando respecto de la Ley Orgánica 5/1992, incluye en el concepto de responsable tanto al que lo es del fichero como al del tratamiento de datos personales. Conforme al artículo 3.d) de la LOPD, el responsable del fichero o del tratamiento es “la persona física o jurídica (...) que decida sobre la finalidad, contenido y uso del tratamiento”. El propio artículo 3 en su apartado c) delimita en qué consiste el C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
8/15
tratamiento de datos, incluyendo en tal concepto las “operaciones o procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. En este sentido se pronunciaba la Audiencia Nacional en su sentencia de 18 de enero de 2006: “Y que duda cabe que la LOPD comprende bajo su régimen sancionador, al que suministra los datos al responsable del fichero, que es quien en realidad sabe la situación en que se encuentra el crédito, si ha sido o no satisfecho, en que condiciones y en que momento ha tenido lugar. En definitiva es el conocedor de la situación de solvencia en que se encuentra el afectado. Y en caso de que se produzca una modificación de dicha situación, debe informar al responsable del fichero para que este refleje con veracidad la situación actual del afectado”. Es preciso, por tanto, determinar si en el presente caso la actividad desarrollada por SEGURIDAD EN LA GESTION S.L. puede subsumirse o no en tales definiciones legales. Y ello tanto es así, puesto que la entidad imputada trató automatizadamente en sus propios ficheros los datos relativos al denunciante y a la deuda (incierta para el denunciante, según los términos de su denuncia); datos de los que es responsable conforme al artículo 3.d) citado. Adicionalmente, decidió sobre la finalidad, contenido y uso del tratamiento y resolvió autónomamente sobre su incorporación a unos ficheros comunes de solvencia patrimonial y crédito. Dicha comunicación se realizó, a mayor abundamiento, mediante un procedimiento que implicaba un tratamiento automatizado de datos cuyo destino era, a su vez, un tratamiento automatizado por parte de los responsables de los ficheros de solvencia, siendo dados de alta al culminar el proceso descrito. De lo expuesto se deduce que la entidad imputada ha sido responsable del tratamiento de datos de la persona denunciante en sus propios ficheros, de su comunicación a través de tratamientos automatizados al responsable del fichero común y de que el tratamiento automatizado de la información relativa a la persona denunciante no responda a los principios de calidad de datos recogidos en el artículo 4.3 de la LOPD (exigencia de que los datos sean exactos y respondan a la situación actual de los afectados). Conforme a lo expuesto, dicha entidad no se ha limitado a transmitir la información al responsable del fichero común sobre solvencia patrimonial, sino que ha tratado automatizadamente los datos de solvencia en sus propios ficheros, los ha comunicado a través de tratamientos automatizados al fichero común, y, particularmente, ha decidido sobre la finalidad del tratamiento (la calificación en sus ficheros como deudor), el contenido de la información (una supuesta deuda), y el uso del tratamiento (la incorporación a un fichero común de información sobre solvencia patrimonial y crédito, al que pueden acceder terceras entidades para realizar una evaluación o perfil económico de las personas incorporadas al mismo). Todo ello, sin que los datos mantenidos en el fichero de SEGURIDAD EN LA GESTION S.L. respondiera a la situación actual del denunciante, pues esta entidad incluyó sus datos personales en ASNEF-EMPRESAS sin el preceptivo requerimiento previo de pago con advertencia al momento de realizarlo de que podía producirse dicha inclusión como moroso. Esto supone una vulneración del principio de calidad del dato de la que debe C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
9/15
responder SEGURIDAD EN LA GESTION S.L. por ser responsable de la veracidad y calidad de los datos existentes en sus ficheros y de los que suministra para que se incluyan y mantengan en el fichero de solvencia patrimonial y crédito. La conclusión, que se desprende de los hechos y fundamentos de derecho expuestos, es que SEGURIDAD EN LA GESTION S.L. es responsable de la infracción del principio de calidad de dato, recogido en el artículo 4.3 de la LOPD, en relación con el 29.4 de la misma norma y en relación también con los artículos 38 y 39 del RLOPD, y en los términos del artículo 43, en relación con el artículo 3, apartados c) y d), también de la citada Ley Orgánica. V El artículo 44.3.c) de la LOPD establece como infracción grave: “Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave”. La Agencia Española de Protección de Datos como ya se ha indicado más arriba ha resuelto numerosos procedimientos sancionadores por incumplimiento de calidad de datos en relación con ficheros de morosidad, tanto por alta improcedente por ser una deuda incierta o por mantener los mismos una vez abonada la deuda (requisito material: exactitud del dato) o por una deuda no requerida previamente de pago por el acreedor al deudor (requisito formal: requerimiento previo), como se trata en el presente caso. Por su parte, la Audiencia Nacional decía en su sentencia de fecha 16 de febrero de 2001: “Vista la conducta de la hoy actora, cabe apreciar que ha hecho uso de unos datos relativos a la insolvencia de una persona, conculcando los principios y garantías establecidas en la Ley (…) concretamente el de la certeza de los datos, que deben ser exactos, de forma que respondan con veracidad a la situación real del afectado, como exige su artículo 4.3 (…) ha de decirse que la inclusión equivocada o errónea de una persona en el registro de morosos, es un hecho de gran trascendencia de la que se pueden derivar consecuencias muy negativas para el afectado, en su vida profesional, comercial e incluso personal, que no es necesario detallar. En razón de ello, ha de extremarse la diligencia para que los posibles errores no se produzcan”. No olvidemos que se trata de algo muy importante: fichar a ciudadanos como morosos. Es criterio compartido que aquél que utiliza un medio extraordinario de cobro, como es el de inclusión en registros de morosos, debe garantizar el cumplimiento de todos los requisitos materiales y formales ya vistos, y así permitir el empleo de este modo accesorio para conseguir el cobro de la deuda. No aplicar estas exigencias supondría, por lo contrario, utilizar este medio de presión al ciudadano sin las suficientes garantías mínimas para los titulares de los datos personales objeto de anotación en los ficheros de solvencia patrimonial y crédito. Tanto es así que el Tribunal Supremo considera “intromisión ilegítima en el derecho al honor” acudir a este medio de presión, pues “la inclusión en los registros de morosos no puede ser utilizada por las grandes empresas para buscar el cobro de las cantidades que estimen pertinentes, amparándose en el temor al descrédito personal y menoscabo de su prestigio profesional y denegación a acceso al sistema crediticio” (SSTS. 176/2013 de 6 de marzo y 12/2014 de 22 de enero). El principio de calidad del dato por lo tanto se configura como principio básico en C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
10/15
materia de protección de datos, y así se recoge en numerosas sentencias de la Audiencia Nacional, que excusa cita. No obstante, dadas las alegaciones presentadas y la documentación presentada, es obligado incidir en algunos aspectos concretos. Así, la sentencia de 23 de mayo de 2007, que ha venido a decir que el requerimiento debe expresar “el concepto y el importe de la deuda determinante de la remisión de los datos al fichero de solvencia patrimonial”. En cuanto al rigor de la inclusión, a su vez, esta misma sentencia ha manifestado que “es esta falta de diligencia lo que configura el elemento culpabilístico de la infracción administrativa y resulta imputable a la recurrente. Debemos insistir que comprobar la exactitud del dato, es decir, de la insolvencia que se pretende registrar coincide con una cantidad debida es una circunstancia que ha de hacerse previamente y de modo riguroso antes de enviar los datos de una persona a un fichero de responsabilidad patrimonial”. La inclusión como moroso del denunciante en ASNEF, en concreto ASNEFEMPRESAS, en consecuencia debería de haberse realizado con todo rigor por la entidad imputada para salvaguardar la veracidad de la información a transmitir a los ficheros de solvencia económica que la Ley Orgánica y su Reglamento exigen. De igual modo, indicar que no es posible hablar “técnicamente de deudor moroso”, en palabras de la Audiencia Nacional, hasta el momento en que, de acuerdo con lo establecido en el artículo 1100 del Código Civil, el acreedor necesariamente exija el cumplimiento de la obligación en cuestión a aquél de forma judicial o extrajudicial y con ello se produzca la situación de mora. Es importante en este caso la determinación en consecuencia de si se realizó o no el preceptivo requerimiento previo de pago antes de la inclusión en el fichero de morosidad con los requisitos formales que exige la normativa sobre protección de datos de carácter personal. Recordemos lo que dice a este respecto la Audiencia Nacional: “la carga de acreditar la comunicación corre a cuenta del que comunica los datos al fichero (…) La solución contraria, presumiendo cumplida la exigencia del requerimiento previo con la mera alegación de que el mismo se envió, supondría vaciar de contenido dicha intimación legal y reglamentariamente impuesta, pues bastaría con la simple afirmación de su existencia para que hubiera de entenderse realizada. Con tal proceder se privaría a los interesados del conocimiento y, en su caso, de la posibilidad de formular reparos a la exactitud, o no, del dato personal que va a acceder al fichero de responsabilidad patrimonial, que es precisamente la finalidad del principio que se pretende salvaguardar” (sentencia de 19 de septiembre de 2007). Añadir que tal comunicación serviría para que el afectado “conozca la existencia de la deuda vencida y exigible y la posibilidad de ser incluido en un ficheros de morosos en el supuesto de no hacerla efectiva” (sentencia de fecha 31 de mayo de 2013, rec.392/2011). Por ello, y seguimos con, por todas, esa misma sentencia de 19 de septiembre de 2007, es necesario exigir que el requerimiento se haga “de manera que se tenga constancia de su recepción por los destinatarios, pues la exhibición de una carta, en relación con las cuales no consta ya su recepción sino, ni siquiera, su envío, no permite tener por cumplida la citada exigencia” (aquí ver folio 39). O esta otra sentencia:
C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
11/15
“Se ha acreditado que existe un procedimiento estandarizado y automático de envío de cartas y requerimientos de pago a los deudores para reclamar el cumplimiento de las obligaciones de pago tan pronto se produce el incumplimiento. Sin embargo, la existencia del procedimiento no constituye prueba de que en este caso concreto se haya producido la efectiva remisión y recepción por el destinatario” (sentencia de fecha 20 de octubre de 2009, Recurso 225/2009 –, en relación aquí con el procedimiento establecido, según dichas alegaciones - folio 68). Además, en relación con la documentación de sus empleados, indicar que la Audiencia Nacional que “las meras afirmaciones, aunque lo sean mediante certificación, de la parte interesada”, no pueden considerarse como documentación suficiente a la hora de acreditar tal requerimiento previo de pago (sentencia de fecha 30 de septiembre de 2011, R. núm. 748/2010). Reseñar en relación a esto la sentencia de la Audiencia Nacional de fecha 13 de diciembre de 2013, que añade que “no hay constancia de la recepción por parte del denunciante de los requerimientos de pago que le fueron enviados” (Rec. núm. 350/2012); reiterando en consecuencia que, a pesar de la eventual emisión de esa carta de fecha 2 de mayo de 2014, en el presente caso concreto no ha quedado acreditado ni siquiera su envío efectivo, dado que no se ha aportado documentación que acredite su puesta en correos. En relación con el paralelo envío por correo electrónico en formato pdf del tal carta reseñar que, como ha señalado el Tribunal Constitucional en la STC 58/2010, de 4 de octubre, “…, la eficacia de los actos de comunicación procesal realizados a través de cualquier medio técnico se supedita a que quede en las actuaciones constancia fehaciente de la recepción, de su fecha y del contenido de lo comunicado, o lo que es igual, que quede garantizada la autenticidad de la comunicación y de su contenido y quede constancia fehaciente de la remisión y recepción íntegras y del momento en que se hicieron.” La documentación presentada afirma que el correo electrónico fue enviado a su destinatario, pero no expresa afirmación alguna en relación con la recepción de éstos. El envío efectivo de un correo electrónico por parte del servidor de correo origen no implica su recepción por el servidor de correo del destinatario. Incluso la recepción de las copias ocultas de correos remitidos no implica la recepción de dichos correos en las cuentas registradas de los eventuales destinatarios. Ello es así porque la confirmación de la recepción de los correos electrónicos depende del funcionamiento del resto de los servidores de correo electrónico intervinientes en la comunicación y muy especialmente de los servidores de correo de las cuentas destinatarias. Y hay que resaltar que el gerente de GESTIC no aporta elementos que respaldes la afirmación, que se recoge en el informe aportado, de que el correo electrónico en cuestión fue “recepcionado en destino en la misma fecha a las 11:05:04 horas”. En resumen, no existe documentación suficiente en el expediente que acredite la realización del requerimiento previo de pago al denunciante por parte de SEGURIDAD EN LA GESTION S.L., pues de la carta aportada a esta Agencia (folio 39) no se tiene constancia de su recepción por el denunciante, sin que conste siquiera su envío efectivo o devolución con control auditable de devolución; por lo que dicha documentación no constituye prueba de que en este caso concreto se haya llevado a cabo dicho requerimiento de pago con anterioridad a la inclusión en ficheros de morosidad; ello en sintonía con la doctrina fijada por la propia Audiencia Nacional que se ha citado más arriba. Por lo tanto, SEGURIDAD EN LA GESTION S.L. ha incurrido en la infracción C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
12/15
descrita, ya que el principio de calidad del dato es básico del derecho fundamental a la protección de datos. La entidad mencionada ha tratado los datos del denunciante infringiendo tal principio, lo que supone una vulneración del artículo 4.3, en relación con el 29.4, ambos de la LOPD, y en relación también con su desarrollo reglamentario, conducta que encuentra su tipificación en el artículo 44.3.c) de la citada Ley Orgánica. VI El artículo 45 de la LOPD, en sus aparatados 2 a 5, establece, según también la nueva redacción dada por la Ley 2/2011, que: «2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros. 3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros. 4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios: a) El carácter continuado de la infracción. b) El volumen de los tratamientos efectuados. c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal. d) El volumen de negocio o actividad del infractor. e) Los beneficios obtenidos como consecuencia de la comisión de la infracción. f) El grado de intencionalidad. g) La reincidencia por comisión de infracciones de la misma naturaleza. h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas. i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos: a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo. b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente. c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
13/15
comisión de la infracción. d) Cuando el infractor haya reconocido espontáneamente su culpabilidad. e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.» El nuevo apartado 5 del artículo 45 de la LOPD deriva del principio de proporcionalidad de la sanción y permite establecer "la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate", pero para ello es necesario la concurrencia de, o bien una cualificada disminución de la culpabilidad el imputado, o bien de la antijuridicidad del hecho, o bien de alguna otra de las circunstancias que el mismo precepto cita. Las citadas circunstancias no se dan en el presente caso, lo que impide apreciar la existencia de motivos para la aplicación de la facultad contemplada en el artículo 45.5, debido, por un lado, a que no obra en el expediente ningún elemento que lleve a apreciar la concurrencia de alguna de las circunstancias previstas del referido artículo y, por otro, a la especial diligencia y conocimiento de la normativa de protección de datos que se ha de exigir a las entidades profesionales cuando, como ocurre con la entidad imputada, el tratamiento de datos personales constituye parte habitual y esencial de su actividad. Las empresas que por su actividad están habituadas al tratamiento de datos personales deben ser especialmente diligentes y cuidadosas al realizar operaciones con ellos y deben optar siempre por la interpretación más favorable a la salvaguarda del derecho fundamental a la protección de datos (como de forma reiterada sostiene la Audiencia Nacional, entre otras en sentencia de 26 de noviembre de 2008). En este sentido, y al tratarse del incumplimiento de un requisito formal, indicar asimismo que, de acuerdo con lo que al respecto manifiesta esa Audiencia Nacional, cabría la aplicación de dicho apartado 5 del artículo 45 de la LOPD si se dieran los presupuestos fácticos contemplados, que no es el caso, como la existencia y exactitud de la deuda con la baja de los datos del afectado en los ficheros de morosidad (sentencia de fecha 10 de mayo de 2012), la falta de intencionalidad de la entidad sancionada en su conducta por el hecho de que el afectado conozca la existencia de la deuda pendiente y la falta de perjuicios para él al haberse renegociado la deuda (sentencia de fecha 23 de julio de 2012) o la regularización de la irregularidad de forma diligente (sentencia de fecha 20 de septiembre de 2012), pero como ya se ha indicado no se dan estas circunstancias en el presente caso. Por todo ello, procede imponer una multa cuyo importe se encuentre entre 40.001 € y 300.000 €, en aplicación de lo previsto en el apartado 2 del citado artículo 45, al tener la infracción imputada la consideración de grave en cualquier caso. En el presente caso, por tanto, teniendo en consideración los criterios de graduación de las sanciones establecidos en el artículo 45.4, y en particular, el carácter continuado de la infracción, la vinculación de la actividad de la entidad infractora con la realización de tratamientos de datos de carácter personal y el volumen de negocio de la misma, procede imponer una multa de 50.000 €. Vistos los preceptos citados y demás de general aplicación, La Directora de la Agencia Española de Protección de Datos RESUELVE:
C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
14/15
PRIMERO: IMPONER a la entidad SEGURIDAD EN LA GESTION S.L. multa de 50.000 € (cincuenta mil euros) por la infracción del artículo 4.3 de la LOPD, en relación con el artículo 29.4 de la misma norma y en relación también con los artículos 38 y 39 del RLOPD; tipificada como grave en el artículo 44.3.c) de la LOPD y de conformidad con lo establecido en el artículo 45. 2 y 4 de esa misma Ley Orgánica, estos últimos de acuerdo con la redacción dada por la Ley 2/2011. SEGUNDO: NOTIFICAR la presente resolución a SEGURIDAD EN LA GESTION S.L. y a D. A.A.A.. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000 0000 abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es
15/15
Mar España Martí Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 28001 – Madrid
www.agpd.es sedeagpd.gob.es